Skip to content
Geek is the Way!
Menu
  • Forums
  • Sobre o blog
  • Contato
  • Português
    • English
Menu

Isolando redes Wi-Fi usando sub-redes VLAN através do pfSense + UDM-Pro e um pouco mais…

Posted on 02/09/202014/08/2022 by Thiago Crepaldi

Uma rede doméstica típica é uma rede em que se algum de seus dispositivos estiver comprometido ou infectado com malware, o invasor é capaz de espalhar malware ou comprometer todos os outros dispositivos.

AVISO Este post foi traduzido automaticamente via software e revisado nas coxas por mim. É possível que as descrições textuais sejam diferentes das interfaces gráficas. Além disso, algumas capturas de tela podem estar em inglês enquanto as instruções em português. Recomendo muita hora nessa calma e fazer as adaptações necessárias

Você pode melhor proteger sua rede separando-a em sub-redes. Os dispositivos em uma sub-rede não têm acesso a outra sub-rede, portanto, o risco de um dispositivo comprometido é limitado a sub-rede em que ele está.

Existem muitas maneiras de segregar redes, mas neste post vamos focar em segregação através de VLANs Wi-Fi, que requer pfSense, um roteador gerenciado (Unifi Dream Machine Pro) e um Access Point (Unifi AP FlexHD). Este post é baseado em uma topologia de roteador em cascata. Para fins de demonstração, usaremos três redes Wi-Fi diferentes (Casa, Visitante e Sigilosa). Enquanto todas as três redes têm acesso à internet, nenhuma deles será capaz de acessar a outra. A rede Sigilosa usará uma conexão VPN como gateway, tornando seu tráfego criptografado para o resto do mundo. Também discutiremos sobre uma rede IoT (Internet das Coisas) que você pode criar na qual ela pode acessar a Internet, mas não a rede Casa ou, caso prefira, pode permitir acesso à sua Casa, mas bloquear acesso à Internet. As aplicações dependem do seu caso de uso/criatividade.

Requisitos

  • pfSense como roteador principal
    • 2 Porta físicas LAN
      • Um conectado à porta UDM-Pro e o outro ao AP
    • 1 porta física WAN conectada ao modem de Internet (ISP)
    • (opcional) Conexão VPN para rede Wi-Fi Sigilosa
  • UDM-Pro como roteador secundário (em cascata – Daisy chained)
  • Unifi AP
    • Redes Wi-Fi Casa, Visitante e/ou Sigilosa

Nota sobre topologia (roteadores em cascata ou Daisy Chained)

Na minha configuração original, eu tinha o Unifi AP FlexHD conectado em uma porta UDM Pro LAN. Isso tem o benefício de que o controlador Unifi e o AP estejam na mesma rede, o que faz com que a solução Unifi funcione de maneira bem integrada e automática. No entanto, minhas conexões de Internet e VPN estão configuradas no roteador pfSense. Para permitir que as redes Wi-Fi sejam roteadas para diferentes pfSense com base em sub-redes VLAN, precisamos trafegar informações VLAN do AP através da porta WAN do UDM-PRO, o que não é suportado pelo UDM-Pro… Para superar mais uma limitação no UDM Pro, tive que mudar a topologia e movi o Unifi AP das portas LAN do UDM-Pro para uma segunda porta LAN no roteador pfSense. Isso criou problemas de conectividade entre o UDM-Pro e o Unifi AP (UDM Pro e AP estão em redes diferentes agora). A solução é abrir algumas portas no UDM-Pro para permitir o gerenciamento remoto.

Crie uma nova LAN no pfSense

No seu pfSense, vá para Interfaces >> Atribuições e em Portas de rede disponíveis selecione uma interface disponível e clique no botão Adicionar . Em seguida, clique na nova interface que foi criada e faça o seguinte:

  • Configuração geral
    • Habilitar interface: selecionado
    • Descrição: UNIFI_APs
    • Tipo de configuração do IPv4: IPv4 estático
  • Configuração estática iPv4
    • Endereço IPv4: 10.20.0.0/24

Deixe o resto como está e clique em Salvar e Aplicar alterações.

Servidor DHCP

Agora precisamos habilitar o serviço DHCP para a nova Interface. Navegue até Serviços >> Servidor DHCP >> UNIFI_APs (ou seja como você nomeou sua interface):

  • Opções gerais
    • Habilitado: verificado
    • Intervalo: 10.20.0.100 a 10.20.0.199
  • Servidores
    • Servidores DNS: 10.20.0.1
  • Outras opções
    • Nome de domínio: lan.domain.com
    • Servidor NTP 1: 10.20.0.1

Deixe o resto como está e pressione Salvar na parte inferior. Agora precisamos reservar um IP estático para o Unifi AP. Na parte inferior, clique em Adicionar e na seção Mapeamentos estáticos de DHCP:

  • Mapeamento estático do DHCP em LAN_UNIFI_AP
    • Endereço MAC: Seu endereço MAC AP Unifi
      • Deve haver um adesivo em seu AP com o MAC. Você também pode encontrá-lo na interface do usuário do Controlador Unifi através do Ícone de rede >> Dispositivos >> Seu_AP >> Detalhes .
    • Identificador de cliente: um nome amigável para o seu AP
    • Endereço IP: 10.20.0.2 ou qualquer coisa intuitiva
    • Hostname: Use sua imaginação

Finalize a reserva pressionando Salvar e Aplicar alterações.

Regras de firewall

Neste ponto, sua nova interface pode reconhecer o AP e atribuir um IP a ele, mas não há conectividade com a LAN/Internet. Precisamos ir em Firewall >> Regras >> UNIFI_APs e criar nossas regras para permitir o acesso à Internet e LAN. O que você pode fazer é duplicar todas as regras da LAN principal na mesma ordem e apenas substituir o campo Interface pela nova interface (de LAN para UNIFI_APs neste exemplo). No Abaixo vou criar uma regra básica abaixo apenas para ter um exemplo funcional. Pressione Adicionar e preencha como abaixo:

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: UNIFI_APs
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: UNIFI_APs
  • Destino
    • Destino: Qualquer
  • Opções extras
    • Descrição: Regra padrão que permite tudo

Finalize clicando em Salvar e Aplicar alterações. Você pode testar esta configuração conectando um laptop nesta porta física, verificando se o IP 10.20.0.100 foi atribuído e que a Internet está disponível.

Se você seguiu meu post pfBlockerNG sobre bloquear anúncios e quiser fazer o mesmo para a rede AP, você precisa de uma nova regra de firewall para isso. Duplique da LAN principal e altere a Interface para UNIFI_APs. Você também precisa ir em Firewall >> pfBlockerNG >> IP e na Configuração de Interface/Regras IP >> Regras de Firewall de Saída certifique-se de adicionar UNIFI_APs à lista. Você pode esperar uma hora para que a alteração faça efeito ou force a atualização de configurações no Firewall >> pfBlockerNG >> Atualização

Se você seguiu meu DNS de proteção anterior usando o post pfSense, você também precisa duplicar as regras de firewall da LAN principal que envolvam a porta 53 e 853.

NAT

Em um post anterior sobre a configuração de VPN no pfSense mencionei que deveríamos usar a Geração de regras híbridas de saída NAT para permitir que o pfSense crie regras NAT para as redes existentes enquanto você pode adicionar suas próprias regras. Se você fez isso, ótimo. Caso contrário, navegue até o Firewall >> NAT -> Saída e selecione Geração de regras híbridas de saída do NAT (Regras automáticas de saída NAT + abaixo). Pressione Salvar e Aplicar alterações.

Se você seguiu meu DNS de proteção anterior usando o post pfSense , você também precisa duplicar as regras do NAT da LAN principal que envolvam a porta 53.

Permitindo a adoção de dispositivos Unifi através da interface WAN do UDM Pro

Por padrão, o UDM Pro (e a maioria dos roteadores) não permitirá que o tráfego proveniente de WAN chegue na rede LAN. Isso causa problemas de conectividade com o AP Unifi na rede pfSense que precisa ser adotado pelo UDM Pro através da porta WAN. A solução é abrir algumas portas para que o AP possa se comunicar com o controlador Unifi, permitindo a adoção em uma rede diferente. Adaptei as instruções oficiais de como adotar controladores Unifi remotos para fazer funcionar.

Para que a adoção seja bem sucedida, precisamos configurar o serviço pfSense DNS Resolver para forçar a resolução do nome de host ‘unifi’ ao IP do controlador Unifi que reservamos no servidor DHCP nas etapas anteriores. Existem outros mecanismos de adoção, mas DNS é a forma mais simples para o pfSense, pois ele executa seu próprio serviço DNS. No seu pfSense, navegue até Serviços >> DNS Resolver, role até Substituições de hosts e clique em Adicionar:

  • Opções de substituição do host
    • Host: unifi
    • Domínio: lan.domain.com
    • Endereço IP: 10.0.0.2
    • Descrição: Nome do host de unifi estático para permitir a adoção

Finalize a substituição pressionando Salvar e Aplicar alterações.

Agora, a Unifi sabe onde encontrar seu Controlador Unifi. mas ainda precisamos abrir portas UDM-Pro para comunicação. Vá para a interface web UDM Pro, selecione o aplicativo Rede , navegue até Configurações >> Segurança da Internet >> Firewall, role até Grupos e clique em Criar novo grupo que armazenará todas as portas que precisam ser abertas:

  • Nome: Grupo portuário de adoção de dispositivos unifi
  • Tipo: Grupo de portas
  • Porta: 22, 8080, 3478, 80, 443

Confirme pressionando Aplicar. Em seguida, crie um novo grupo com a sub-rede UNIFI_APs:

  • Nome: Rede UNIFI AP
  • Tipo: Endereço/sub-rede IPv4
  • Endereço: 10.20.0.0/24

Confirme pressionando Aplicar novamente e crie um terceiro grupo com o IP do controlador Unifi:

  • Nome: IP do controlador Unifi
  • Tipo: Endereço/sub-rede IPv4
  • Endereço: 10.0.0.2

Com todos os 3 grupos criados, role até Regras e clique em Criar uma nova regra para fazer como abaixo:

  • Geral
    • Tipo: WAN local
    • Descrição: Permitir a adoção de dispositivos Unifi através do WAN
    • Habilitado: selecionado
    • Regra aplicada: Antes das regras predefinidas
    • Ação: Aceitar
    • Protocolo IPv4: TCP e UDP
      • estritamente falando 3478/UDP e 22.80.443.8080/TCP são a seleção mínima, mas estou permitindo TCP e UDP para todas as portas listadas para simplicidade
  • Origem
    • Tipo de origem: Endereço/grupo de portas
    • Endereço de grupo IPv4: Selecione a rede UNIFI AP
    • Grupo de porta: Selecione Qualquer
  • Destino
    • Tipo de destino: Grupo endereço/porta
    • Endereço de grupo IPv4: Selecione IP do controlador Unifi
    • Grupo de porta: Selecione grupo de porta de adoção de dispositivos Unifi

Clique em Aplicar e todas as portas TCP/UDP necessárias para comunicação com a rede Unifi AP em direção ao controlador serão abertas.

(Re)configurando o AP Unifi

Se o seu AP já foi adotado pelo controlador, você precisa movê-lo para a nova porta LAN do pfSense e tudo deve funcionar. Se isso não acontecer, sugiro que você redefina as configurações do Unifi AP, remova-o do controlador Unifi e inicie o processo de adoção novamente. Um teste rápido antes de redefinir a configuração é conectar via SSH no Unifi AP e, a partir daí, tente conectar via SSH no Controlador Unifi. Se todas as regras de firewall foram criadas corretamente, você deve ser capaz de se conectar ao controlador a partir do AP. Consulte o guia de solução de problemas da Unifi se você ficar preso nesta etapa e não puder adotar o AP, mesmo tendo conectividade.

Configurar sub-redes Wi-Fi VLAN no UDM-Pro

Todas as etapas anteriores completam a configuração para implementar a mudança de topologia. Neste ponto, você deve ter 1) Unifi AP e Controlador com conectividade, apesar de estarem em diferentes redes, 2) os APs devidamente adotado pelo Controlador e 3) pelo menos uma rede WiFi (Casa) funcionando, que não usará VLAN e, portanto, sua configuração não será modificada.

O próximo passo é configurar VLANs para as outras redes WiFi. Estou assumindo que você deseja modificar suas redes Wireless existentes (Visitante e, opcionalmente, Sigilosa), mas criar novas redes Wi-Fi são discutidos nesse post. No UDM-Pro e usando uma rede diferente (como Wi-Fi Casa ou uma conexão com fio) do Wi-Fi que você modificará (Visitante nesse caso).

Recomendo o uso de uma VLAN entre 2 e 254, para que possamos usar VLAN ID como parte do terceiro octeto IP. Por exemplo, assumindo que as VLANs serão criadas na rede 10.20.0.0/24, para um VLAN ID 100, podemos ter 10.20.100.0/24 como a rede VLAN, o que ajuda a identificar conexões em análises futuras.

Vá para Configurações >> Wi-Fi >> Redes Wi-Fi e clique em Editar para modificar o Wi-Fi Visitante existente:

  • Diversos
    • Use um VLAN: selecionado
    • VLAN ID: 100

Clique em Aplicar alterações. A rede Wi-Fi Visitante está agora configurada com o VLAN. Essa mudança causará problemas temporários de conectividade. Precisamos configurar o pfSense para usar a mesma VLAN antes que as coisas comecem a funcionar novamente.

Configurar sub-redes Wi-Fi VLAN no pfSense

Anteriormente, você criou uma nova interface para o AP Unifi para se comunicar com o Controlador Unifi. Agora você precisa passar por um processo semelhante para criar uma interface para cada Wi-Fi VLAN na mesma interface física UNIFI_APs.

No seu pfSense, vá para Interfaces >> Atribuições >> VLANs, clique em Adicionar e faça o seguinte para o VLAN convidado :

  • Configuração VLAN
    • Interface Pai: Selecione a interface criada para o UNIFI_APs
    • VLAN Tag: 100
    • Descrição: VLAN 100 – Visitante

Pressione Salvar e Aplicar alterações. Agora vá para Interfaces >> Atribuições >> Atribuições de Interface e clique em Adicionar uma nova interface com o recém-criado VLAN:

  • Configuração geral
    • Habilitar interface: selecionado
    • Descrição: Qualquer nome intuitivo, como UNIFI_APs_VLAN100
    • Tipo de configuração do IPv4: IPv4 estática
  • Configuração estática iPv4
    • Endereço IPv4: 20.10.100./24

Clique em Salvar e Aplicar alterações. Como antes, o próximo passo é configurar o DHCP para a nova interface. Navegue até Serviços >> Servidor DHCP >> UNIFI_APs_VLAN100 (ou seja como você nomeou sua interface):

  • Opções gerais
    • Habilitado: selecionado
    • Intervalo: 10.20.100.100 a 10.20.100.199
  • Servidores
    • Servidores DNS: 10.20.100.1
  • Outras opções
    • Nome de domínio: lan.domain.com
    • Servidor NTP 1: 10.20.100.1

Deixe o resto como está e pressione Salvar na parte inferior. Como antes, o próximo passo é criar regras de firewall para permitir o tráfego na internet. Como discutido anteriormente, você pode duplicar cada regra da interface LAN principal se tiver material pfBlockerNG e/ou DNS. Mas também adicionaremos uma nova regra para permitir o acesso somente à Internet.

Primeiro criaremos um IP de Aliases firewall para definir como as redes LAN podem ser e, em seguida, usar essa definição para limitar a conectividade na rede Guest . No seu pfSense, vá para Firewall >> Aliases, clique em Adicionar e faça o seguinte:

  • Propriedades
    • Nome: RFC1918 ou Private_IPv4s
    • Descrição: Todas as redes privadas IPv4
    • Tipo: Redes
  • Rede(s)
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16

Pressione Salvar e Aplicar Alterações para criar o Alias que será usado pela nova regra de firewall. O alias será criado uma vez e será usado por muitas regras de firewall (no caso de você estar repetindo esses passos para Visitante, Sigilosa, IoT, etc). Vá para Firewall >> Regras e pressione Adicionar

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: UNIFI_APs_VLAN100
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: UNIFI_APs_VLAN100
  • Destino
    • Sel. invertida: selecionado
    • Destino: Único host ou alias
    • Endereço de destino: RFC1918 ou Private_IPv4s
  • Opções extras
    • Descrição: Padrão permite regra somente da Internet

Finalize clicando em Salvar e Aplicar alterações. Agora, sua rede Wi-Fi Visitante tem acesso à internet, mas não pode acessar a rede Casa Wi-Fi, pois eles estão redes diferentes e restringimos a regra de firewall para permitir conexões que não estão destinadas a endereços LAN.

Como discutido durante Configuração NAT do UNIFI_APs, se você seguiu meu outro post protegendo o serviço DNS usando pfSense, você também precisa duplicar as regras NAT da interface LAN que envolvem a porta 53.

VLANs e além…

Depois de seguir este longo post, você foi capaz de criar uma nova sub-rede Visitante em seu Wi-Fi usando VLANs, que é completamente isolada da rede Casa e da rede com fio. Sejamos honestos, existem maneiras mais fáceis de aplicar políticas de acesso de visitantes usando o controlador Unifi apenas sem usar pfSense e/ou VLAN, mas preferimos o melhor, não o mais fácil 🙂

Usando a conexão do cliente VPN como gateway

Uma das razões pelas quais escrevi este post foi para mostrar como usar esses conceitos e técnicas para criar redes Wi-Fi sigilosas que não só não têm acesso à rede Casa, mas também usam uma conexão VPN como gateway padrão. A rede Wi-Fi Sigilosa funciona lado a lado com as outras redes Wi-Fi (Casa e Visitante), mas além de isolada, é completamente anônima. Esta abordagem é poderosa, pois posso selecionar qual tráfego deve ser protegido (e potencialmente mais lento devido às limitações de largura de banda das VPN) e quando usar conexão do provedor (potencialmente mais rápida) nas outras redes Wi-Fi.

Para implementar a rede Sigilosa, repita as etapas anteriores e crie uma nova rede Wi-Fi em seu UDM-Pro, defina uma VLAN e, no seu pfSense, crie uma interface VLAN com o mesmo ID, configure as regras de servidor DHCP, DNS, NAT e Firewall. Teste a conectividade com a internet antes de fazer alterações que permitirão conexões com clientes VPN como gateway e/ou outras restrições.

A diferença entre o Wi-Fi Casa e Visitante é que ele usa uma conexão VPN como gateway. Para isso, no pfSense, vá para Firewall >> Regras e pressione Editar em Regra padrão que permite acesso somente a Internet:

  • Opções extras
    • Opções avançadas
      • Display Avançado
        • Gateway: Selecione sua conexão VPN (ou grupo de Gateway VPN se você tiver várias conexões de VPN para balanceamento de carga/tolerância a falhas)

Pressione Salvar e Aplicar Alterações e pronto.

Isolando IoT

Todos nós temos dispositivos IoT que raramente são atualizados, representando uma enorme ameaça à sua rede doméstica, mesmo que seus roteadores, switches, laptops, telefones e tablets estejam atualizados. Esses dispositivos podem ser categorizados em 2 tipos:

  1. Dispositivos IoT que precisam de Internet para funcionar, mas não interagem com sua rede
    • Exemplos são o Google home, dispositivos inteligentes como geladeira, fechaduras, etc.
  2. Dispositivos IoT que não precisam de Internet, mas precisam estar disponíveis em sua rede
    • Exemplos são câmeras de vigilância. Eles geralmente são acessados pelo Wi-Fi da sua casa para gravação, mas você não quer que eles transmitam sua vida online. E se quiser, prefira usar um servidor VPN para acesso remoto das câmeras

Isolando IoT de sua casa

Para dispositivos do tipo 1), é melhor permitir que os dispositivos IoT se conectem à internet e façam suas coisas, mas isole-os da sua rede doméstica.

Isso é exatamente o que já fizemos para a rede Visitante, então apenas repita os passos anteriores para a IoT e já era!

Isolando IoT da Internet

Para dispositivos tipo 2), por outro lado, podemos usar o VLAN ID 50 e começar repetindo etapas anteriores para a IoT, mas depois modificar a regra de firewall para permitir conexões LAN apenas, bloqueando internet.

No pfSense, vá para Firewall >> Regras e pressione Editar em Regra padrão que permite acesso somente a Internet:

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: UNIFI_APs_VLAN500
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: UNIFI_APs_VLAN500
  • Destino
    • Sel. invertida: desmarcado
    • Destino: Único host ou alias
    • Endereço de destino: RFC1918 ou Private_IPv4s
  • Opções extras
    • Descrição: Regra padrão que permite acesso somente a LAN

Pressione Salvar e Aplicar Alterações para completar.

Resumo

Durante essa jornada, atualizamos nossa rede física para colocar nosso Unifi AP mais próximo do pfSense, permitindo a integração da VLAN entre os dois.

Em seguida, concluímos que não precisamos fazer alterações na rede Wi-Fi Casa , pois queremos que ela esteja no mesmo domínio que o resto de seus dispositivos com fio

A seguir, configuramos uma rede Wi-Fi Visitante para ter acesso à Internet mas isolada da rede Casa.

Também discutimos sobre uma rede Wi-Fi criptografada Sigilosa que está isolada da Casa e que tem uma conexão VPN como gateway, adicionando uma camada de privacidade quando você deseja visitar sites suspeitos.

Finalmente, cobrimos duas variações de redes Wi-Fi IoT que ou têm acesso à Internet, mas sem acesso à rede local ou o contrário, ou seja, sem conectividade de Internet, mas acesso à Casa.

Espero que tenham gostado…

Compartilhe isso:

  • Tweet

Related

Deixe uma respostaCancelar resposta

LIKED? SUPPORT IT :)

Buy Me a Coffee


Pesquisa


Categorias

  • Aleatório (3)
  • Cozinhando (1)
  • Homelab (50)
    • APC UPS (5)
    • Compras (1)
    • NAS Synology (7)
    • pfSense (33)
    • Proxmox (4)
    • Supermicro (1)
    • Ubiquiti (4)
    • UDM Pro (4)
  • Wordpress (1)

Tag

ambiente virtual proxmox (3) aplicativo apt-get (2) certificados (5) Certificados Let's Encrypt (5) comunidade proxmox (2) controlador unifi (2) DNS dinâmico (2) DNS Dinâmico (DDNS) (3) Dsistribuição Linux Debian (2) Equipamento UDM-Pro (5) Linha Unifi (3) monitoramento (2) No-Break APC (5) Nobreak UPS (5) Nuvem CloudFlare (2) Placa APC AP9631 (3) Plataforma PBS (3) Plataforma pfSense (35) Plataforma Proxmox (3) Plataforma PVE (3) Plataforma Synology (6) Protocolo IPSEC (2) Protocolo LDAP (2) Protocolo SNMP (3) Protocolo SNMPv1 (3) Protocolo SSH (4) Protocolo SSL (5) Rede de Computadores (14) Redes VLAN (4) Rede VPN (8) Rede WiFi (4) rev202207br (54) Roteamento (2) segurança (14) Segurança com Firewall (7) Servidor de Backup Proxmox (3) servidor vpn (2) Serviço DNS (3) Serviço NMC (2) Serviço pfBlockerNG (2) Sistema Operacional DSM (6) sub-rede (2) Switch de rede Unifi (2) Tarefas cron (2) Tarefas crontab (2)

Ver também

Política de privacidade

Mapa do site

©2025 Geek is the Way! | Design by Superb